Cyberthreat.id – Komisi Perlindungan Data Irlandia (DPC) meluncurkan penyelidikan menyusul laporan berita bulan lalu tentang kebocoran data Twitter besar-besaran. Kebocoran ini memengaruhi lebih dari 5,4 juta pengguna Twitter dan mencakup informasi publik yang diambil dari situs serta nomor telepon pribadi dan alamat email.

Data tersebut diperoleh melalui eksploitasi kerentanan API yang telah diperbaiki Twitter pada bulan Januari. Dikutip dari Bleeping Computer, dalam sebuah pernyataan DPC mengatakan berkorespondensi dengan Twitter International Unlimited Company ('TIC') sehubungan dengan pelanggaran data pribadi yang diberitahukan.

TIC mengklaim sebagai sumber kerentanan yang digunakan untuk menghasilkan kumpulan data dan mengajukan pertanyaan. sehubungan dengan kepatuhan GDPR.

Ia juga menambahkan bahwa pihaknya meyakini satu atau lebih ketentuan GDPR dan/atau Undang-undang tersebut mungkin telah, dan/atau sedang, dilanggar sehubungan dengan data pribadi Pengguna Twitter. DPC, yang berfungsi sebagai pengawas Uni Eropa utama Twitter, ingin menentukan apakah raksasa media sosial telah memenuhi kewajibannya sebagai pengontrol data terkait pemrosesan data pengguna dan apakah telah melanggar ketentuan Peraturan Perlindungan Data Umum (EU GDPR). atau Undang-Undang Perlindungan Data 2018.

Dua tahun lalu, DPC mendenda Twitter €450.000 (~$550.000) karena gagal memberi tahu DPC tentang pelanggaran dalam jangka waktu 72 jam yang diwajibkan oleh GDPR dan karena dokumentasi pelanggaran yang tidak memadai.

Pada November 2021, DPC juga mendenda Meta €265 juta ($275,5 juta) karena kebocoran data besar di Facebook yang mengungkap informasi pribadi ratusan juta pengguna di seluruh dunia. Seperti diketahui pada Juli 2022, informasi pribadi lebih dari 5,4 juta pengguna Twitter dijual di forum peretasan seharga $30.000. Sementara sebagian besar data tersedia untuk umum, seperti ID Twitter, nama, nama login, lokasi, dan status terverifikasi, basis data yang bocor juga menyertakan informasi non-publik, seperti alamat email dan nomor telepon.

Data ini dikumpulkan pada Desember 2021 melalui kerentanan API Twitter yang diungkapkan melalui program bounty bug HackerOne, yang memungkinkan siapa pun mengirimkan nomor telepon atau alamat email ke API untuk menautkannya ke ID Twitter terkait.

Setelah BleepingComputer membagikan sampel catatan pengguna yang dicuri dengan Twitter, perusahaan mengonfirmasi telah mengalami pelanggaran data yang terkait dengan penyerang yang menggunakan bug API ini, yang telah diperbaiki pada Januari 2022.

BleepingComputer menemukan bahwa bug tersebut dieksploitasi oleh Pompompurin, pemilik forum peretasan yang Dilanggar, yang juga mengumpulkan informasi dari 1,4 juta pengguna Twitter tambahan yang ditangguhkan menggunakan API yang berbeda. Ini membuat jumlah total profil Twitter yang diambil untuk informasi pribadi menjadi hampir 7 juta.

Selama bulan September dan November, database yang sama berisi 5.485.635 catatan pengguna Twitter juga dibagikan secara gratis di forum peretasan.

Catatan berisi banyak data pengguna publik dan pribadi, termasuk alamat email pribadi atau nomor telepon, serta data yang diambil secara publik, seperti ID Twitter, nama, nama layar, status terverifikasi, lokasi, URL, deskripsi, jumlah pengikut, tanggal pembuatan akun, jumlah teman, jumlah favorit, jumlah status, dan URL gambar profil.

Pakar keamanan Chad Loder juga mengungkapkan rincian di Twitter dan Mastodon tentang pembuangan data yang lebih besar yang berpotensi berisi jutaan catatan Twitter dengan nomor telepon pribadi yang dikumpulkan menggunakan bug API yang diperbaiki sebelumnya dan beberapa informasi yang tersedia untuk umum, seperti status terverifikasi, nama akun, ID Twitter, bio, dan nama layar.

"Saya baru saja menerima bukti pelanggaran data Twitter besar-besaran yang memengaruhi jutaan akun Twitter di UE dan AS, saya juga telah menghubungi sampel akun yang terpengaruh dan mereka mengonfirmasi bahwa data yang dilanggar itu akurat.

Pelanggaran ini terjadi tidak lebih awal dari tahun 2021,” kata Loder. BleepingComputer telah memverifikasi dengan beberapa pengguna yang terpengaruh bahwa nomor telepon dalam pelanggaran data ini valid.

Perlu dicatat bahwa tidak ada satu pun nomor telepon dalam database yang bocor ini yang ada dalam data asli yang dijual pada Agustus 2002, menunjukkan pertukaran data pengguna Twitter yang signifikan di antara pelaku ancaman dan tingkat pelanggaran data melebihi apa yang diketahui sebelumnya.